Istraživači cyber sigurnosti otkrili su novu phishing kampanju koja koristi Google crteže i skraćene linkove generisane putem WhatsAppa kako bi izbjegli otkrivanje i prevarili korisnike da kliknu na lažne veze dizajnirane za krađu osjetljivih informacija.
“Napadači su odabrali grupu najpoznatijih web stranica u računarstvu da kreiraju prijetnju, uključujući Google i WhatsApp za smještaj elemenata napada, i Amazonu sličnog za prikupljanje informacija o žrtvi”, rekao je istraživač Menlo Security-a Ashwin Vamshi . “Ovaj napad je odličan primjer prijetnje Živjeti od pouzdanih lokacija ( LoTS ).”
Polazna tačka napada je phishing email koji upućuje primaoce na grafiku koja izgleda kao link za verifikaciju Amazon naloga. Ova grafika se, sa svoje strane, nalazi na Google crtežima, u očiglednom pokušaju da izbjegne otkrivanje.
Zloupotreba legitimnih usluga ima očigledne prednosti za napadače jer nisu samo jeftino rješenje, već što je još važnije, nude tajni način komunikacije unutar mreža, jer je malo vjerovatno da će biti blokirani sigurnosnim proizvodima ili zaštitnim zidovima.
„Još jedna stvar koja Google crteže čini privlačnim na početku napada je to što omogućava korisnicima (u ovom slučaju napadaču) da uključe linkove u svoju grafiku“, rekao je Vamshi. “Takve veze mogu lako ostati neprimijećene od strane korisnika, posebno ako osjećaju hitnost oko potencijalne prijetnje njihovom Amazon računu.”
Korisnici koji na kraju kliknu na vezu za verifikaciju bivaju preusmjereni na stranicu za prevaru na Amazon, s URL-om koji se uzastopno kreira pomoću dva različita skraćivača URL-a — WhatsApp (“l.wl[.]co”) nakon čega slijedi qrco[.]de – – kao dodatni sloj zamagljivanja i obmanjivanja sigurnosnih URL skenera.
Lažna stranica je dizajnirana da prikupi akredative, lične podatke i podatke o kreditnoj kartici, nakon čega se žrtve preusmjeravaju na originalnu lažnu stranicu za prijavu na Amazon. Kao dodatni korak, web stranica se čini nedostupnom sa iste IP adrese nakon što su akredative potvrđene.
Ovo otkrivanje dolazi nakon što su istraživači identifikovali rupu u mehanizmima protiv krađe identiteta Microsoft 365 koja bi se mogla zloupotrebiti kako bi se povećao rizik da korisnici otvore phishing emailove.
Metoda uključuje korištenje CSS trikova da se sakrije “Savjet za sigurnost prvog kontakta”, koji upozorava korisnike kada prime e-poštu s nepoznate adrese. Microsoft, koji je priznao problem, tek treba da objavi ispravku.
“Savjet za sigurnost prvog kontakta je pridodat tijelu HTML e-pošte, što znači da je moguće promijeniti način na koji se prikazuje korištenjem oznaka u stilu CSS”, rekao je austrijski odjel za cyber sigurnost Certitude . “Ovo možemo napraviti korak dalje i lažirati ikone koje Microsoft Outlook dodaje u e-poštu koja je šifrirana i/ili potpisana.”
Izvor:The Hacker News